核心内容摘要
xxx18xxx:解锁无限可能,redefine你的精彩人生
æ¯�年攻击者的登录技巧都在ä¸�æ–å�‡çº§èƒ½å¤Ÿæ›´éš�蔽地绕过本应阻æ¢ä»–们的防护ç�¯å¢ƒã€‚æ— è®ºæ˜¯çªƒå�–密ç �ã€�é‡�放令牌ã€�劫æŒ�会è¯�还是OAuthæ�ˆæ�ƒè¯ˆéª—他们的攻击手段æŒ�ç»è¿ä»£è¶³ä»¥çª�ç ´æ›¾ç»�被认为安全的身份验è¯�æ–¹å¼�。这æ£æ˜¯MFA令牌å�‘挥作用的地方。MFA令牌能æ��ä¾›å�•çº¯å¯†ç �æ— æ³•å®�ç�°çš„功能真å®�çš„æŒ�有è¯�æ˜�。然而并é��所有令牌的工作å�Ÿç�†éƒ½ç›¸å�Œä¹Ÿå¹¶é��æ¯�一ç§�é…�置都能抵御ç�°ä»£æ”»å‡»ã€‚MFA令牌的å®�际工作å�Ÿç�†MFA令牌是第二ç§�èº«ä»½æ ¡éªŒæ‰‹æ®µã€‚å¯†ç �验è¯�ä½ â€œæ‰€çŸ¥â€�çš„ä¿¡æ�¯è€Œä»¤ç‰ŒéªŒè¯�ä½ â€œæ‰€æŒ�â€�的物å“�。有时这ç§�令牌是一个å�¯æ�’入的å°�å�‹å¯†é’¥æœ‰æ—¶å®ƒæ˜¯æ‰‹æœºä¸Šç”Ÿæˆ�å…ä½�验è¯�ç �的应用程åº�。两ç§�æ–¹å¼�功能相å�Œå�ªæ˜¯å®�ç�°å½¢å¼�ä¸�å�Œã€‚以下是简å�•çš„æµ�程拆解æœ�务器ä¸�用户共享一个密钥æ•�æ„Ÿå‡è¯�该密钥安全å˜å‚¨åœ¨è®¾å¤‡æˆ–令牌ä¸ã€‚令牌生æˆ�一个çŸæœŸæœ‰æ•ˆçš„验è¯�ç �——通常有效期为30秒或60秒。用户在系统æ��示时输入该验è¯�ç �。æœ�务器将用户输入的验è¯�ç �ä¸�自身计算得出的结æ�œè¿›è¡Œæ¯”对。若两者匹é…�登录æµ�程继ç»ã€‚å�³ä½¿é»‘客窃å�–了密ç �ä¹Ÿæ— æ³•ç»§ç»ç™»å½•å› 为他们没有生æˆ�登录æ�ˆæ�ƒéªŒè¯�ç �所需的令牌。ç�°ä»£MFA解决方案已将这ç§�令牌æµ�程直æ�¥æ•´å�ˆåˆ°ç™»å½•è¿‡ç¨‹ä¸æ— è®ºä½ ä½¿ç”¨çš„æ˜¯ç”Ÿç‰©è¯†åˆ«ã€�密ç �å¯†é’¥è¿˜æ˜¯ä¼ ç»Ÿçš„åŸºäº�时间的一次性密ç �TOTP。软令牌 vs 硬令牌软令牌软令牌应用程åº�ä¾�èµ–å˜å‚¨åœ¨ç”¨æˆ·è®¾å¤‡ä¸çš„共享密钥工作会生æˆ�æ¯�30秒或60秒刷新一次的çŸæœŸæœ‰æ•ˆéªŒè¯�ç �。用户输入验è¯�ç �å��æœ�务器进行验è¯�验è¯�通过å�³å�¯å®Œæˆ�登录。这ç§�æ–¹å¼�æ“�作简å�•ä½†å®‰å…¨å¢�益显著。å�³ä½¿å¯†ç �æ³„éœ²æ”»å‡»è€…æ²¡æœ‰ä»¤ç‰Œä¹Ÿæ— æ³•æ�¨è¿›æ”»å‡»ã€‚而且由äº�æ— éœ€é€šè¿‡çŸä¿¡ä¼ 输信æ�¯SIMå�¡åŠ«æŒ�或一次性密ç �OTP拦截的é£�险大幅é™�ä½�。软令牌示例Google Authenticatorè°·æŒéªŒè¯�器ã€�ADSelfService Plus移动应用ã€�Microsoft Authenticator微软验è¯�器。软令牌适用äº�远程员工ã€�普通员工群体以å�Šé‡‡ç”¨è‡ªå¸¦è®¾å¤‡BYOD政ç–çš„ä¼�业。硬令牌æŸ�些ç�¯å¢ƒéœ€è¦�更强有力的用户身份担ä¿�è¿™æ£æ˜¯ç¡¬ä»¶ä»¤ç‰Œçš„优势所在。它们具备抗钓鱼能力å�¯å®Œå…¨ç¦»çº¿å·¥ä½œä¸”作为独立物å“�由用户éš�身æ�ºå¸¦ã€‚硬令牌示例YubiKey硬件安全密钥ã€�OTP密钥å�¡ã€�智能å�¡ã€‚硬令牌适用äº�生产车间ã€�医院ã€�关键岗ä½�ã€�高安全级别ç�¯å¢ƒæˆ–任何ç¦�æ¢ä½¿ç”¨æ‰‹æœºçš„场所。大多数组织ä¾�赖支æŒ�硬令牌和软令牌两ç§�æ–¹å¼�çš„ä¼�业身份验è¯�å·¥å…·å¹¶æ ¹æ�®å²—ä½�çš„é£�险ç‰çº§ç�µæ´»é€‰ç”¨ã€‚è¿™ç§�æ–¹å¼�å�¯å¾ˆå¥½åœ°è¦†ç›–一线员工ã€�高管ã€�承包商ã€�远程用户ç‰å�„类人群。MFA令牌 vs OAuth令牌MFA令牌是身份验è¯�å› ç´ åŒ…æ‹¬åŸºäº�时间的一次性密ç �TOTPã€�硬件密钥ã€�æ�¨é€�审批和软令牌应用程åº�ç‰ç”¨äº�在登录过程ä¸éªŒè¯�用户身份。OAuth令牌是æ�ˆæ�ƒä»¤ç‰ŒåŒ…括访问令牌ã€�刷新令牌和身份令牌ç‰åœ¨èº«ä»½éªŒè¯�通过å��é¢�å�‘用äº�确定用户å�¯è®¿é—®çš„资æº�范围。人们之所以容易混淆这两ç§�ä»¤ç‰Œæ˜¯å› ä¸ºç�°ä»£èº«ä»½ç³»ç»Ÿå°†è¿™ä¸¤ä¸ªæµ�程串è�”在一起。当MFA确认用户身份å�ˆæ³•å��系统会é¢�å�‘OAuth令牌用äº�会è¯�访问应用程åº�å’ŒAPI。令牌窃å�–å¨�èƒ�背å��的深层å¨�èƒ�攻击者ä¸�仅窃å�–密ç �还会窃å�–令牌和会è¯�。æ�¨é€�疲劳攻击ã€�OAuth令牌滥用ã€�Cookie窃å�–å’Œé‡�放攻击ç‰éƒ½èƒ½ç»•è¿‡ä¼ 统的MFAé…�置。这也是ADSelfService Plusç‰ç�°ä»£ç³»ç»Ÿè½¬å�‘抗钓鱼ã€�æ— å¯†ç �MFAçš„å�Ÿå› 。æ�„建å�ˆç�†çš„MFA令牌ç–略如今已ä¸�å˜åœ¨å�•ä¸€çš„“最佳â€�MFAæ–¹å¼�。ä¸�å�Œçš„用户ã€�设备和é£�险ç‰çº§éœ€è¦�ä¸�å�Œçš„解决方案。最安全的é…�置是è��å�ˆå¤šç§�令牌类å�‹åœ¨ä¿�障身份验è¯�安全的å�Œæ—¶ä¸�å½±å“�用户的登录效ç�‡ã€‚ç�°ä»£MFA令牌ç–略通常包括以下内容用äº�æ— å¯†ç �登录的密ç �密钥Passkeys彻底消除了最薄弱的ç�¯èŠ‚——密ç �ã€‚æ— éœ€æ‹…å¿ƒå¯†ç �被窃å�–ã€�é‡�å¤�使用或钓鱼攻击å�ªéœ€ä¾�é� 安全的设备绑定身份验è¯�å�³å�¯å®Œæˆ�登录。作为日常备份的基äº�时间的一次性密ç �TOTP验è¯�器应用程åº�生æˆ�的基äº�时间的验è¯�ç �å�³ä½¿åœ¨ç¦»çº¿çŠ¶æ€�下也能使用å�¯å�¯é� 覆盖大多数员工的使用场景。用äº�高å�¯ä¿¡åº¦å²—ä½�的硬件令牌安全密钥和OTP设备å¢�åŠ äº†ç‰©ç�†é˜²æŠ¤å±‚å‡ ä¹�æ— æ³•è¢«ç¯¡æ”¹ã€‚é��常适å�ˆç®¡ç�†å‘˜ã€�高管以å�Šå�—监管ç�¯å¢ƒä¸çš„å²—ä½�使用。仅作为应急选项的çŸä¿¡æˆ–è¯éŸ³éªŒè¯�这类方å¼�并é��最安全但能帮助没有智能手机的用户或在其他所有验è¯�æ–¹å¼�失效时为用户æ��供登录途径。适应å®�é™…é£�险的自适应MFAç�°ä»£MFA需è¦�具备自适应能力。如æ�œç”¨æˆ·ä»�å�¯ä¿¡è®¾å¤‡ã€�已知网络登录系统会æ��ä¾›æµ�畅的登录体验如æ�œç³»ç»Ÿæ£€æµ‹åˆ°æ–°è®¾å¤‡ã€�高é£�险ä½�ç½®ã€�ä¸�å�¯èƒ½çš„异地登录çŸæ—¶é—´å†…跨远è·�离登录或多次登录失败ç‰å¼‚常情况会自动强制å�¯ç”¨æ›´ä¸¥æ ¼çš„验è¯�å› ç´ ã€‚è¿™ä¸€æœºåˆ¶å¡«è¡¥äº†é�™æ€�MFAä¸�å®�é™…å¨�èƒ�行为之间的差è·�。用äº�æ•�感账户的抗钓鱼MFA密ç �密钥ã€�FIDO2密钥和基äº�WebAuthn的验è¯�æ–¹å¼�å�¯æœ‰æ•ˆæŠµå¾¡é‡�放攻击ã€�MFA轰炸频ç¹�å�‘é€�验è¯�æ�¨é€�和虚å�‡ç™»å½•é¡µé�¢æ”»å‡»ã€‚所有特æ�ƒè´¦æˆ·æˆ–高影å“�å²—ä½�都应默认使用这类验è¯�æ–¹å¼�。æŒ�ç»å®¡è®¡ä¸�é£�险评分强大的MFAä¸�仅在äº�强制å�¯ç”¨éªŒè¯�å› ç´ è¿˜åœ¨äº�æŒ�ç»ç›‘æ�§ç™»å½•æ¨¡å¼�ã€�æ ‡è®°å¼‚å¸¸è®¾å¤‡ã€�检测令牌滥用和æ�ƒé™�蔓延ç‰é£�险点。ADSelfService Pluså¦‚ä½•å¼ºåŒ–ä½ çš„MFA令牌ç–ç•¥ADSelfService Plusä¸�ä»…æ��ä¾›å¤šæ ·åŒ–çš„éªŒè¯�器选项还围绕这些选项æ�„建了完整的身份防护层——通过自适应MFA应对é£�险适é…�ä¸�å�Œå›¢é˜Ÿçš„工作模å¼�ç¡®ä¿�访问æ�ƒé™�å®�æ—¶æ›´æ–°ã€‚æ— å¯†ç �身份验è¯�是这一ç–ç•¥çš„æ ¸å¿ƒã€‚ç”¨æˆ·æ— éœ€å¯†ç �å�ªéœ€é€šè¿‡ç”Ÿç‰©è¯†åˆ«ã€�FIDO2密ç �密钥ã€�æ�¨é€�审批或TOTPå�³å�¯ç™»å½•è¿™æ„�味ç�€æ”»å‡»è€…æ— æ³•å†�ä¾�é� 窃å�–或é‡�å¤�使用的å‡è¯�å®�施攻击。基äº�æ�¡ä»¶çš„MFAå¢�添了å�¦ä¸€å±‚æ™ºèƒ½é˜²æŠ¤ã€‚ç³»ç»Ÿä¼šæ ¹æ�®å¤šç§�访问æ�¡ä»¶å¯¹æ¯�次登录进行检查。若å�‘ç�°å¼‚常情况会自动æ��å�‡èº«ä»½éªŒè¯�级别若一切æ£å¸¸ç”¨æˆ·å�¯æ— ç¼�完æˆ�ç™»å½•æ— éœ€é¢�外æ“�作。FIDO2密ç �密钥ã€�微软验è¯�器和硬件密钥ç‰æŠ—钓鱼验è¯�å› ç´ èƒ½ä¿�护高é£�险岗ä½�å…�å�—令牌é‡�放ã€�虚å�‡ç™»å½•é¡µé�¢å’Œä¸é—´äººæ”»å‡»çš„å¨�èƒ�。这些验è¯�器还支æŒ�离线工作对äº�一线团队ã€�远程站点以å�Šç½‘络è¿�æ�¥ä¸�稳定的用户而言至关é‡�è¦�。针对日常使用场景ADSelfService Plus通过软令牌æ��ä¾›ç�µæ´»çš„验è¯�æ–¹å¼�。用户å�¯é€šè¿‡ADSelfService Plus移动应用或第三方验è¯�器生æˆ�TOTPæ— è®ºåœ¨çº¿è¿˜æ˜¯ç¦»çº¿çŠ¶æ€�都能å�¯é� 使用为用户æ��供简å�•ã€�å�¯é¢„期的身份验è¯�体验。ADSelfService Plusçš„å�¯è§†åŒ–功能MFA报表会详细展示哪些用户注册了哪些验è¯�器ã€�登录失败å�‘生在哪些场景ã€�哪些账户出ç�°å¼‚常模å¼�。这ç§�清晰的å�¯è§†åŒ–能力让管ç�†å‘˜èƒ½åœ¨è–„å¼±ç�¯èŠ‚æ¼”å�˜ä¸ºå®‰å…¨äº‹ä»¶ä¹‹å‰�å�Šæ—¶å�‘ç�°å¹¶å¤„ç�†ã€‚完善的MFA令牌ç–略通过密ç �密钥ã€�TOTPã€�硬令牌和基äº�é£�险的检查为用户身份æ��ä¾›å�¯é� è¯�æ˜�。当这些防护层å��å�Œå·¥ä½œå¹¶èƒ½åœ¨å�‘ç�°å¼‚常时自适应调整就能æ�„建一个既能éš�è”½æ‹¦æˆªèº«ä»½ä¼ªé€ æ”»å‡»å�ˆèƒ½ä¿�éšœå�ˆæ³•ç”¨æˆ·æµ�畅登录的系统。å�³ä½¿å¯†ç �泄露或会è¯�被劫æŒ�强大的MFA令牌也能确ä¿�访问æ�ƒé™�始终æ�Œæ�¡åœ¨å�ˆæ³•ç”¨æˆ·æ‰‹ä¸ã€‚借助ADSelfService Plusæ�„建更强大ã€�ä»¥ä»¤ç‰Œä¸ºæ ¸å¿ƒçš„MFAç–ç•¥å�§ã€‚